关于手机助手的安全与隐私问题,最近讨论不少。豆包手机助手在微博上发了一份声明,核心意思很明确:用户授权是底线,所有功能调用都以用户明确同意为前提,并且只取实现功能所必需的最小范围数据。换句话说,不给权限,它不会动。
声明里还特别强调,云端处理用户手机屏幕内容时,严格执行“不存储、不训练”原则。数据传输走加密通道,使用环节有多重防护机制,隐私安全是有保障的。

同一天,马化腾在腾讯年会上也聊到了豆包手机的相关功能,态度很直接。他对豆包通过底层系统接入、辅助用户完成操作的技术路径表示质疑,认为把手机和电脑屏幕画面录屏并上传到云端,这种做法“安全性极低、责任意识缺失”,腾讯“坚决反对”。
事件的起因是有用户发视频爆料:豆包手机助手利用了 READ_FRAME_BUFFER 权限,直接从GPU渲染的图形缓冲区提取图像数据,绕过了上层截图API;同时还启用了 CAPTURE_SECURE_VIDEO_OUTPUT 权限,理论上能获取银&行类应用的安全键盘等受保护界面内容。这个说法听起来确实让人紧张。
官方针对这个质疑给出了详细解释,指出这是对技术实现逻辑的误读。豆包手机助手实际使用的是系统原生截屏接口(WindowManagerService.captureDisplay),这个接口严格遵循应用自身设置的 Secure 标记,所以根本没法对银&行APP等已声明安全保护的界面进行截屏。官方还提供了一个验证方法:任何持有技术预览版的用户,可以自己开发一个含受保护页面的测试APK,调用AI讲解页面内容,结果会发现AI确实无法识别或访问这类界面。
至于 READ_FRAME_BUFFER 权限的真实用途,官方解释是——它用来支持AI在后台持续运行。具体来说,豆包手机助手把第三方应用放在虚拟屏环境里运行,要获取虚拟屏中应用的画面内容(也就是调用 WindowManagerService.captureDisplay 接口)供大模型做视觉理解与推理,就需要这个权限。但关键在于,这个接口和对应权限本身不具备突破系统 Secure 机制的能力,读不了任何设置了 Secure 标记的第三方应用界面,金融类APP自然也在保护范围内。
官方最后重申了几点:豆包手机助手只在收到用户明确指令后才启动截屏流程,全程无法捕获任何带 Secure 标记的第三方应用界面;所有上传云端的截屏内容仅用于实时视觉分析与任务推理,任务完成后立即销毁,绝不在云端留存。这算是对公众关切的正式回应,安全上的疑虑或许能打消不少。
